En el anterior post hablé de porqué es importante parar o asegurarnos (lo máximo posible) ante los ciberataques y las consecuencias que pueden derivar de los mismos para la gente, en general.
Hoy nos hemos levantado con los medios haciendo eco del “titular del día” que no es otro que el logro de colaboración y financiación, de un nutrido grupo de países europeos, para poder luchar contra los ciberataques o, como se ha denominado con gran acierto, la ciberguerra.
Me encantan estas propuestas, estas declaraciones de intenciones y esas fotos en familia sonrientes pero, hay que llevarlas a cabo, invirtiendo el dinero correctamente y, sobre todo, concienciando para cambiar la mentalidad de muchos, sobretodo aquellos que trabajan con el dinero e información de todos.
Por ello hoy quiero traeros unos cuantos ejemplos (de este mismo año) sobre cómo se puede empezar a barrer desde casa y trabajar desde hoy mismo para evitar la fuga de información y el impacto que suponen estos ataques. Comencemos con nuestro Top:
Top 4: BiciMad
Esta no es nueva, BiciMad es un servicio que se lanzó en 2014 y tuvo gran impacto mediático, aparte de por sus bondades porque en pocas horas lograron hackear su aplicación móvil a la par (lo que más salió en los medios) de poner en las terminales de la ciudad la foto de un miembro que no pasaba para nadie inadvertido. No habían pasado ninguna auditoria de seguridad y todos sus elementos (tanto estaciones como web) dejaron a la vista vulnerabilidades. Si queréis más detalle de esa historia aquí lo recopilan muy bien.
Ahora nos vamos al año 2017, donde esta aplicación de nuevo salta a los medios gracias a una nueva actualización en su app que acaba siendo vulnerada en solo dos horas, parece ser que incluir SSL de forma correcta es algo que no entra en sus planes.
Top 3: DNI electrónico
Este caso parece que se ha gestionado con más cuidado. El gobierno de Estonia ponía en aviso, el cifrado RSA-2048 había sido vulnerado y con procesamiento de tarjetas gráficas se podría llegar a extraer las claves privadas de los usuarios desembocando en un posible problema de suplantación de identidad.
Automáticamente se pusieron sobre la pista y anularon que se pudiera operar con los DNI emitidos desde 2015 y detectados como vulnerables.
¿Os imagináis que habría pasado si se votara mediante el DNI electrónico? Habría podido suceder que si fueras a votar te encontrarás que alguien ya lo había hecho y, además, a otro partido que no gozara de tu simpatía.
La solución pasa por el cambio de hardware, es decir, hacer de nuevo el DNI a todos esos ciudadanos. Ya veremos en qué acaba esto, tienen nuestro voto de confianza gracias al rápido aviso y cancelación del uso de los documentos identificados como vulnerables.
Referencia 1, Referencia 2
Referencia 1, Referencia 2
Top 2: Buscador del CNI
A través del buscador de la web del CNI y gracias a una vulnerabilidad de inyección el grupo de hacking Gaben Security dice que extrajo información de valor e incluso llegó a acceder a máquinas del CNI.
Es bien cierto que luego se comentó que el ataque tuvo un impacto muy por debajo de lo que se anunció en un principio ya que la web está aislada de máquinas del CNI, por lo que el contenido al que podían acceder era meramente informativo pero el buscador desapareció de la web y el grupo si expuso un error demasiado básico como para existir en una web perteneciente a un organismo con tareas de inteligencia y seguridad.
Top 1: LexNet
El premio se lo lleva LexNet.
No solo porque pusiera al descubierto los datos judiciales de todas las causas entre sus usuarios, o porque se dejara servidores con configuraciones por defecto abiertos al mundo.
Sino porque es la muestra más clara de la inminente necesidad de cambio en la mentalidad de quienes gestionan estas iniciativas.
Un proyecto opaco, con un entramado de empresas desarrollando lo que es imposible de entender y sin responsabilidades claras.
Muchos millones invertidos en el mismo, más millones aún invertidos en la solución y encima amenazas a los jóvenes que denuncian nuevas vulnerabilidades alrededor de su sistema.
Mal desde la oferta, al desarrollo y peor desenlace.
LexNet ha sido el mayor ciber escándalo patrio y estoy segura de que continuará.
Referencia 1, Referencia 2, Referencia 3, Referencia 4, Referencia 5, Referencia 6, Referencia 7, Referencia 8, Referencia 9 y podría seguir con muchas referencias más.
Referencia 1, Referencia 2, Referencia 3, Referencia 4, Referencia 5, Referencia 6, Referencia 7, Referencia 8, Referencia 9 y podría seguir con muchas referencias más.
Por todo ello, está muy bien la iniciativa Europea para luchar contra el crimen en la red de forma global, pero también hemos de poner medidas y mentalidad dentro de casa.
No hay comentarios:
Publicar un comentario